Я пытаюсь усилить безопасность своего домена, и часть этого процесса (как и в случае с somr RTFM) заключается в следующем:
- Учетные записи администратора служб — для служб (антивирус, spiceworks, планировщик задач, резервное копирование NAS, администратор SQL и т. д.)
- Персональные учетные записи администраторов для администраторов (CIO, CTO, RD Mgr...)
- попробуйте ограничить использование администратора домена до NULL
Однако мне трудно организовать в голове то, как должны быть организованы эти счета:
для учетных записей ADM служб - все довольно ясно (иметь доступ только к тому, что им нужно делать, и удалить доступ к графическому интерфейсу)
Но что касается персональных администраторов: какие полномочия им (мне и другим) необходимы?
Поскольку я собираюсь создать буквально ту же самую работу, только войти в систему как adm.myuser.name с паролем, следует ли мне добавить себя в группу администраторов?
- Это немного помогает контролировать пользователей, ограничивать общие учетные записи и т. д., но так ли это нужно делать?
Какова наилучшая практика иметь таких персональных администраторов домена?
Как только я встану на этот путь, появится гораздо больше пользователей, которых мне нужно будет контролировать и отслеживать. Как мне это сделать? - Как мне контролировать своего пользователя srv.adm.sql?
решение1
Что касается персональных учетных записей администраторов, то здесь есть два пути:
- Каждый получает как учетную запись персонального администратора, так и учетную запись обычного пользователя.
- Каждый получает персональную учетную запись администратора, которую использует для обычных дел.
Очевидно, что первый вариант более безопасен, но реальность показывает, что многие администраторы будут просто использовать его и не беспокоиться о другом. Вот почему есть второй вариант. Отдельные учетные записи администраторов повышают контролируемость вашей среды, что является правильным и верным решением.
Жить с двумя учетными записями, обычной и повышенной, вполне возможно, но для того, чтобы жить с ними успешно, нужно потрудиться. Проблема с Windows в том, что она только иногда может «запустить» определенные инструменты управления в качестве повышенной учетной записи. Один из вариантов — иметь где-то терминальный сервер, на который администраторы должны входить, чтобы использовать свои повышенные учетные записи. Другой вариант — виртуальные машины только для администраторов.
Что касается мониторинга их использования, то это потребует некоторой формы мониторинга безопасности в масштабах всей среды, которая у вас может быть, а может и не быть. Есть много способов сделать это, что выходит за рамки этого вопроса. Если вы пойдете по пути «отдельные учетные записи администратора, вход в систему ограничен определенными рабочими станциями администратора», вы сможете напрямую отслеживать эти журналы безопасности, что может быть проще, чем решение в масштабах всей среды.